Hvordan undgår du bøder for data om ansatte og andre?
Alle, som ligger inde med oplysninger, der kan identificere fysiske personer, skulle fra den 25. maj 2018 leve op til nye krav, hvis oplysningerne findes på et digitalt medie eller i et systematisk papirregister.
Det kan være navn, adresse og cpr.nr. på ansatte, ansøgere, kunder, leverandører og lejere, og i nogle tilfælde eksempelvis også bankoplysninger og skatteoplysninger.
De formelle krav til dokumentation er strammet op, og bødeniveauet er forhøjet betydeligt i forhold til de tidligere regler. Det er efterhånden almindeligt kendt, at man nu risikerer bøder på op til 4 % af ens omsætning (opgjort på koncernniveau).
Reglerne
Formålet med reglerne om beskyttelse af persondata er at sikre, at oplysninger om privatpersoner ikke spredes ukontrolleret gennem især de digitale medier. Der skal være et fornuftigt og lovligt formål med, at du har og eventuelt videregiver oplysninger om andre personer. De personer, som du har oplysninger om, har krav på at vide, at du har dem, og hvad du bruger dem til, så de kan gøre indsigelse, hvis de mener, du gør noget forkert. Altså er tanken, at man flytter ejerskabet over data tilbage til dem, som dataen vedrører.
Gode vaner
Reglerne, der står i en EU-forordning, er meget formelle: Der skal være skriftlig dokumentation for, hvor du gemmer hvilke oplysninger, hvilken lovlig grund du har til at ligge inde med oplysningerne, hvem du giver dem videre til, og hvornår du sletter oplysningerne igen. Derefter skal du leve op til de regler og procedurer, som du har lavet for din egen virksomhed.
Men det vigtigste er at få dig nogle gode vaner omkring IT-sikkerhed og om fornuftig omgang med oplysninger om andre mennesker. Få indarbejdet nogle regler og faste procedurer, så oplysninger om ansatte, ansøgere til ledige stillinger og kunder ikke ligger og flyder frit tilgængeligt på virksomhedens computere og i lokaler rundt omkring.
Det er rigtig vigtigt, at du har en god sikkerhed på din computer – f.eks. passwords, firewall, antivirus og back up. Ellers kan du ikke sikre dig mod at udenforstående får adgang til dine data.
Ingen grund til panik
Der er skrevet og snakket meget omkring GDPR, men der er faktisk ikke så meget nyt i, hvordan du skal omgås oplysninger om andre mennesker. Det nye er, at du skal kunne dokumentere, hvordan du gør.
Hvis du tænker dig om, når du har med andres personlige oplysninger at gøre, og spørger dig selv, hvordan du gerne selv ville have dine oplysninger behandlet, så er du godt på vej. Hvis du ikke er i mål, så brug en times tid til at komme i gang og lav derefter en aftale med dig selv en gang om året for at få de formelle forhold på plads.
Der er hjælp at hente
I dag, snart 2 år efter reglerne trådte i kraft, er der skudt en underskov af IT-løsninger op, som kan hjælpe dig med at få dine persondata i system og sørge for, at du overholder reglerne. Derfor har vi hos TELLUS Advokater valgt, at vi i dag kan hjælpe bedst ved at henvise til disse systemer, da de i vores øjne leverer en systematik og et overblik, som vi som advokatvirksomhed uden de tekniske systemer ikke kan matche. Vi tager dog gerne en uforpligtende snak med dig omkring valg af systemer eller lignende, hvis du har behov for dette.
